×
Мы перезвоним Вам
×
Напишите нам
Популярные услуги
×

Переаттестация. Периодический контроль. В чём разница?

Периодический контроль – незаслуженно игнорируемая Владельцами аттестованных объектов процедура поддержания уровня безопасности. А к вопросу проведения переаттестации Владельцы аттестованного объекта обращаются лишь по двум причинам:

  • Закончился срок действия аттестата соответствия;
  • Изменились характеристики аттестованного объекта, которые требуют его переаттестации.

Зачастую, у Владельцев аттестованных объектов нет полноты понимания, каким образом содержать свой объект в соответствии с требованиями законодательства. В процессе «погружения» в тему и поиска информации многие натыкаются на термин – Периодический контроль. Данное мероприятие неразрывно связано с аттестованными по требованиям ФСТЭК объектами информатизации. Так в чем же разница между Периодическим контролем и Переаттестацией? Разберемся ниже.

 

Периодический контроль – что это?

Периодический контроль – процесс проводится на регулярной основе. В зависимости от объекта, он может проводится с периодичностью в 6 месяцев, год или два. В особых случаях можно еще уменьшить срок, если безопасность объекта имеет критическое значение и должна постоянно находиться в актуальном состоянии и под пристальным контролем.

Что говорит закон?

Вышедший в 2021 году «Порядок организации и проведения работ по аттестации …», утвержденный Приказом ФСТЭК №77, в пунктах 31, 32 описывает условия проведения периодического контроля и отправки отчетности в ФСТЭК России.

Из ключевых моментов:

– Владелец аттестованного объекта информатизации обеспечивает проведение периодического контроля уровня защиты информации на аттестованном объекте информатизации.

– Протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года представляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России).

Резюмируя:

Владелец обязан проводить регулярные периодические контроли уровня защиты информации на аттестованном объекте. Не реже чем раз в 2 года отправлять отчетные материалы (протоколы) о проведенных работах в ФСТЭК России.

Очень часто владельцами аттестованных объектов идет подмена понятий. Требования п.32 пытают интерпретировать как – «Проводить периодический контроль не реже одного раза в два года». Такая постановка вопроса в корне не верна. Пункт 32 лишь регламентирует максимальный временной промежуток между передачей протоколов контроля защиты. Если в этот промежуток не уложиться ФСТЭК будет иметь все основания приостановить действие Аттестата соответствия на объект. Если же аттестованный объект был заявлен как место осуществления лицензируемых видов деятельности, то ФСТЭК и вовсе может инициировать проверку по соблюдению лицензионных требований лицензиатом.

 

Периодический контроль. Соблюдаем требования.

В целом, порядок действий довольно прост:

  • Регулярно проводить периодический контроль уровня защиты информации на своем аттестованном объекте. Мы рекомендуем проводить периодический контроль не реже 1 раза в год. Если объект имеет критическое значение, то срок можно сократить до 6 или 3 месяцев. За проведением периодического контроля лучше обращаться в организацию изначально проводившую аттестационные мероприятия. Исполнитель будет уже знаком с объектом и выполнит работу быстрее и, как правило, дешевле. Однако, законодательно не запрещено обратиться к любому другому лицензиату ФСТЭК России, имеющему необходимые пункты лицензии для проведения данного вида работ.
  • Полученные результаты необходимо отправлять в территориальное управление ФСТЭК России, не реже 1 раза в 2 года! Можно чаще, например, раз в год, провели – отправили. Отправлять нужно по месту нахождения аттестованного объекта, а не по месту нахождения ЮЛ. Пример: Аттестованный объект находится в г. Владивосток. Местонахождение ЮЛ – г. Москва. Отчетность по проведенным работам необходимо отправлять в управление ФСТЭК России по ДФО. Информацию по территориальным органам ФСТЭК можно найти Здесь.

 

Переаттестация. Требования законодательства.

Возвращаясь к «Порядку организации и проведения работ по аттестации …», утвержденному Приказом ФСТЭК №77, то как таковой термин «Переаттестация» в этом документе не фигурирует. Нам нужен пункт 33, который предписывает действия в случае модернизации аттестованного объекта. Два основных момента:

  • Модернизация без изменения уровня(класса) защищенности предписывает проведение дополнительных аттестационных испытаний и актуализацию Технического паспорта на объект. Действие Аттестата соответствия не приостанавливается.
  • В случае модернизации (развития) объекта повлекшей изменения уровня (класса) защищенности аттестованного объекта процедура Аттестации полностью проводится заново.

Примечание: Сейчас, в законодательном плане, многие объекты находятся в состоянии перехода от старых требований к новым. Другими словами, если аттестат соответствия был выдан до 01.09.2021, то процесс аттестации проводился еще по старым требованиям и Аттестат соответствия был со сроком действия (как правило 3 года). Т.е. Владельцы некоторых аттестованных объектов сейчас только подходят к вопросу переаттестации своих объектов по причине истечения сроков действия Аттестатов. Теоретически данный переходный период должен завершиться 01.09.2024 и эта ремарка будет уже не актуальна.

Резюмируя:

Владелец объекта в случае необходимости модернизации аттестованного объекта обращается в орган по аттестации (Лицензиат ФСТЭК), который проводил аттестацию. Далее, если Владелец сам не может понять влияет модернизация на исходный уровень (класс) защищенности или нет, орган по аттестации консультирует его по дальнейшим действиям. Если уровень (класс) защищенности остается неизменным, проводятся дополнительные испытания и актуализируется документация на аттестованный объект. Если уровень (класс) защищенности меняется, то работа по Аттестации проводится заново, начиная от Акта Классификации и заканчивая выдачей нового Аттестата соответствия на объект.

 

В чем разница?

Переаттестация и периодический контроль – принципиально разные процессы.

Периодический контроль – обязательный и регулярный процесс для аттестованного объекта.

Переаттестация проводится только в случае модернизации аттестованного объекта.

Иногда, в рамках проведения периодического контроля, Орган по аттестации может выявить необходимость проведения повторных аттестационных мероприятий.

Например, в рамках аттестованной ИСПДн будет обнаружена обработка новых категорий ПДн – раньше обрабатывались только иные, а добавились биометрические или специальные категории. Либо сильно возросло количество субъектов обрабатываемых ПДн. Обнаружение таких изменений, в свою очередь, потребует проведение переклассификации ИСПДн. Если по результатам классификации комиссия повысит уровень ИСПДн, то работы по аттестации придется проводить снова. Абсолютно аналогичная ситуация может встретиться в аттестованной ГИС, КИИ, Защищаемом помещении и т.д.

 

Выводы. Переаттестация и/или Периодический контроль?

Владелец аттестованного объекта должен соблюдать несколько правил, дабы избежать щекотливых ситуаций:

  • Следить за законодательством в части обеспечения защищенности информации на своем аттестованном объекте;
  • Содержать систему защиты информации и организационно-распорядительную документацию аттестованного объекта в актуальном состоянии;
  • По мере необходимости проводить регламентные мероприятия в зависимости от жизненного цикла аттестованного объекта, в том числе с привлечением Лицензиатов ФСТЭК России;
  • Не забывать о сдаче отчетности в территориальное управление ФСТЭК России.

 

Если у вас остались вопросы, с радостью дадим исчерпывающие ответы на них, просто нажмите кнопку ниже и оставьте заявку!

  05.03.2024   |     Аттестация, ФСТЭК